Den första delrapporten om Trafiksäkerhetsverkets e-tjänster är klar

Kommunikationsministeriet har av Transport- och kommunikationsverket fått den utredning som ministeriet begärt om praxis vid planering, tillhandahållande och drift av verkets e-tjänster. Utredningen hänför sig till de problem som i december 2018 uppdagades i Trafiksäkerhetsverket Trafis digitala tjänster (e-tjänster).

Den nu färdigställda undersökningen är en delrapport om det utrednings- och utvecklingsarbete som pågår hela året 2019. Arbetet utförs på uppdrag av kommunikationsministeriet under ledning av Transport- och kommunikationsverkets generaldirektör Kirsi Karlamaa.

I delrapporten redogörs för resultaten av den granskning av informationssäkerheten som gjordes i december 2018, de åtgärder som genomförts under vårens lopp för att förbättra informationssäkerheten och dataskyddet samt läget inom auditeringen av informationssäkerheten. I rapporten beskrivs också den modell som verket tillämpar för utveckling och styrning av informationssäkerheten. De insatser som utredningen kräver är inte slutförda och därför vidtas fortsatta åtgärder under resten av året.

Transport- och kommunikationsverket har utvärderat de avstängda e-tjänsterna. Granskningen omfattar dataskyddet, lagligheten i behandlingen av personuppgifter och informationsinnehållet i tjänsterna. I utvärderingen har man fäst uppmärksamhet vid tjänsternas användningsändamål och dataskyddsprinciperna enligt EU:s dataskyddsförordning, till exempel så att behandlingen av personuppgifter är minimerad.

Efter de ändringar som gjorts i e-tjänsterna under vårens lopp bedömer verket att de uppgifter som lämnas ut står i linje med bestämmelserna i lagen om transportservice. De tekniska begränsningar som har införts i tjänsterna borgar för att de tillämpas på enskilda fall där uppgifter lämnas ut.

Transport- och kommunikationsverket har inlett en auditering av informationssäkerheten i sina tjänster. Auditeringen består av flera olika etapper och den pågår fram till slutet av 2019.

"Vi utvecklar våra tjänster och förfaranden utifrån de observationer som gjorts under utredningen. Vi satsar på tjänster som är säkra att använda och på att garantera skyddet för användarnas personuppgifter. De är a och o i vår verksamhet", säger Transport- och kommunikationsverkets generaldirektör Kirsi Karlamaa.

"En modell för att hantera den övergripande säkerheten är en del av verkets ledningssystem. Säkerhetsledning var en av prioriteringarna vid sammanslagningen av de tre verken på kommunikationsministeriets förvaltningsområde. Till exempel i alla projekt för e-tjänster är dataskyddet inbyggt i modellen för utvecklingen av tjänsterna", säger Kirsi Karlamaa.

"Skyddet för medborgarnas personuppgifter är orubbligt. Detta krav gäller alla e-tjänster. Dataskyddet får inte inskränkas till lagens bokstav. Det måste tillgodoses också i praktiken", säger överdirektör Laura Vilkkonen vid kommunikationsministeriet.

"Transport- och kommunikationsverket har gjort en ingående granskning av orsakerna till problemen med e-tjänsterna. Det är viktigt att vi på bred bas inom hela statsförvaltningen kan dra nytta av den pågående utredningen och att vi utbyter erfarenheter. På så sätt kan vi utveckla kvaliteten på de digitala tjänsterna inom statsförvaltningen", säger Vilkkonen.

Hur framskred ärendet?

Tidskriften Tekniikka ja talous gick fredagen den 7 december 2018 ut med en nyhet om Trafiksäkerhetsverket Trafis nya webbtjänst, i vilken det förutom uppgifter om förarnas körrätt även var möjligt att söka olika personuppgifter. Under veckoslutet fick frågan stor spridning även i andra massmedier och väckte diskussion på sociala medier. I diskussionerna kritiserades det faktum att det i onödigt stor utsträckning var möjligt att få ut personuppgifter från tjänsten. När ministeriet fick höra om problemen vidtog det omedelbart åtgärder.

Söndagen den 9 december stängde Trafi alla sina e-tjänster för att försäkra sig om att tillgången till tjänsten för föraruppgifter var spärrad medan så länge utredningen pågick.

Måndagen den 10 december gav kommunikationsministeriet Kommunikationsverket i uppgift att undersöka dataskyddet och informationssäkerheten i Trafis e-tjänster och att lämna ministeriet ett expertutlåtande om dem. Ministeriet bad att bedömningen skulle genomföras i nära samarbete med dataombudsmannen.

Utredningen tillställdes ministeriet i två delar. I den första delen som levererades den 12 december tog Kommunikationsverket ställning till om det var lagligt och med tanke på säkerheten tryggt att öppna Trafis webbtjänst med undantag för de delar som innehåller föraruppgifter.

Enligt utredningen håller informationssäkerheten i Trafis tjänsteutbud högre nivå än genomsnittet bland de myndigheter inom statsförvaltningen som omfattas av motsvarande krav på informationssäkerhet. När utredningen var klar återöppnades en del av Trafis digitala tjänster lördagen den 15 december.

Efter den preliminära utredningen beställde Trafi på begäran av Kommunikationsverket en annan, utförligare fortsatt bedömning av service- och systemhelheten. Den utfördes av Nixu Certification Oy, som är ett sådant bedömningsorgan som avses i lagen om bedömningsorgan för informationssäkerhet. Kommunikationsverket tillsatte en övervakare för bedömningen.

Den fortsatta bedömningen blev färdig den 19 december. Även i den uppskattades Trafis digitala tjänster hålla högre nivå än många andra motsvarande system inom statsförvaltningen. Enligt bedömningen är utformningen av Trafis e-tjänster för föraruppgifter dock inte till alla delar helt lyckad. E-tjänsten för föraruppgifter har inte återöppnats för allmänheten i dess ursprungliga form.

Kommunikationsverket, Trafiksäkerhetsverket Trafi och vissa funktioner vid Trafikverket ombildades i början av 2019 till Transport- och kommunikationsverket. Kommunikationsministeriet har bett Kirsi Karlamaa, generaldirektör för Transport- och kommunikationsverket, lämna en utredning om praxis vid planering, tillhandahållande och drift av verkets e-tjänster. Enligt uppdraget ska delrapporter om utredningen lämnas till ministeriet före utgången av maj och september. Den slutliga rapporten ska lämnas in senast den 16 december 2019.

Kommunikationsministern tog emot den första delrapporten den 28 maj.

Vad händer härnäst?

Den interna utredningen vid Transport- och kommunikationsverket fortsätter. Ministeriet har bett om nästa delrapport före slutet av september. Tidsgräns för den slutliga rapporten är den 16 december 2019.

Observationerna i delrapporterna och i slutrapporten ska under ledning av kommunikationsministeriet utnyttjas vid utvecklingen av verksamheten inom förvaltningsområdet.

Ministeriet uppmuntrar alla organisationer inom statsförvaltningen att dra nytta av resultaten av analysen för att trygga dataskyddet och informationssäkerheten i deras tjänster.

Ytterligare information:

Laura Vilkkonen, överdirektör (Avdelningen för kunskapshantering), tfn 040 500 0817, Twitter @vilkkonen
Kirsi Karlamaa, generaldirektör, Transport- och kommunikationsverket, tfn 0295 390 403